Digitalcourage e.V. hat vergangene Woche eine Unterlassungsklage gegen die Deutsche Bahn beim Frankfurter Landgericht eingereicht. Padeluun, Gründungsvorstand des Bielefelder Vereins, verklagt die Bahn auf Unterlassung der Verletzung der Allgemeinen Persönlichkeitsrechte.
Hintergrund der Klage sind Untersuchungen des IT-Sicherheitsexperten Mike Kuketz. Kuketz hatte den DB-Navigator im Zuge seiner Blog-Serie „App-Check“ im April dieses Jahres unter die Lupe genommen und festgestellt, dass die App personenbezogene Daten an externe Unternehmen weiterleitet – so weit, so üblich. Allerdings konnten die Nutzer:innen die Weitergabe selbst dadurch nicht unterbinden, dass sie die vermeintlich datenschutzfreundlichste Einstellung wählten.
Öffnen Nutzer:innen die Bahn-App erstmals, erscheint ein Einwilligungsbanner („Consent Banner“) und fragt ihre Einwilligung zur Nutzung von Cookies ab. Nutzer:innen können dann aus drei Optionen wählen: „Alle Cookies zulassen”, „Cookie-Einstellungen öffnen” und „Nur erforderliche Cookies zulassen”.
Ausgerechnet die Auswahl „Nur erforderliche Cookies zulassen“ erweist sich als problematisch. Nach einem Urteil des EuGH* müssen Nutzer:innen in die Verwendung von Cookies einwilligen – nur unbedingt erforderliche Cookies bilden eine Ausnahme. In der heutigen Pressekonferenz sagte der mit Klage betraute Anwalt Peter Hense: „Das Kriterium hat der Europäische Gerichtshof klar spezifiziert und Marketing-Analysen zählen nicht dazu.“
Dennoch leitet die Bahn-App personenbezogene Daten – ungeachtet der von den Nutzer:innen gewählten Einstellung – an zehn Dienstleister:innen weiter. Die Daten enthalten Informationen zu Start- und Zielbahnhof, Anzahl der Mitreisenden, zum Besitzstatuts einer Bahncard sowie Angaben dazu, ob Kinder mitfahren. Unter den Empfänger:innen der Daten sind unter anderem Adobe Analytics und hCaptcha.
„Die Bahn fährt schwarz auf der vielzitierten Datenautobahn. Wir haben sie bei einer zivilgesellschaftlichen Kontrolle erwischt. Jetzt muss sie ein Ticket nachlösen oder eben mit diesen Praktiken aufhören“, forderte der Anwalt Peter Hense.
Gemeinsam mit Digitalcourage hatte sich Kuketz bereits im April 2022 mit einem Brief an die Deutsche Bahn gewandt und gefordert, die Mängel in der App innerhalb von zwei Monaten zu beseitigen. Das Antwortschreiben wie auch die öffentlichen Äußerungen der DB ließen jedoch nicht darauf schließen, dass das Unternehmen die Forderung erfüllen werde.
Die Deutsche Bahn wies die Vorwürfe von Kuketz und Digitalcourage zunächst zurück. Die betroffenen Unternehmen seien „nicht Dritte im Sinne der DSGVO“, da sie vertraglich gebunden seien und nicht im eigenen Interesse handelten, sondern auf Weisung der Deutschen Bahn. Das wollten die Beschwerdeführer:innen nicht hinnehmen: Es spiele keine Rolle, wie die Weitergabe an Dritte organisiert werde, so Hense heute, entscheidend sei vielmehr, welche Verarbeitung zu welchem Zweck vorgenommen werde.
Auch die Stiftung Warentest kam in ihrer im Juni veröffentlichten Analyse zu dem Ergebnis, dass die App mehr Daten als nötig übermittle. Im Juli kündigte Digitalcourage an, Klage einzureichen.
Nach Einschätzung des Anwalts Peter Hense kann mit einer Gerichtsentscheidung innerhalb eines Jahres gerechnet werden, da der Sachverhalt nicht überaus komplex sei. Die Tatsachen seien unstrittig, weshalb das Gericht lediglich die Zulässigkeit der gegenwärtigen Praxis beurteilen müsse. Aus Sicht des Anwalts verstößt die Deutsche Bahn gegen die DSGVO und das Telemediengesetz. „Wir sind immer noch ein Rechtsstaat und kein Die-Bahn-darf-alles-Staat“, sagte Hense auf der Pressekonferenz.
Die Bahn widerspricht
Die Deutsche Bahn widerspricht dieser Darstellung entschieden: „Verarbeitet werden keine identifizierenden personenbezogenen Informationen, sondern nur pseudonymisierte Daten, die sich für den einzelnen Anbieter isoliert als anonyme Dateninhalte darstellen“, betont das Unternehmen in einer aktuellen Presseinformation. „Keiner der Anbieter ist in der Lage, die Daten an anderer Stelle oder gar zu eigenen Marketingzwecken einzusetzen. Ein Webseiten- oder App-übergreifendes Nachverfolgen von Kund:innen mit diesen Cookies ist nicht möglich.“
Die App „DB Navigator“ wird von der DB Vertrieb GmbH betrieben. Die App bündelt verschiedene Dienstleistungen der Bahn – von der Suche nach einer Reiseverbindung über den Ticketkauf bis zur Anzeige der Wagenreihung eines Zuges. Laut Google Play Store wurde sie bislang mehr als 10 Millionen Mal heruntergeladen. Die Deutsche Bahn selbst berichtet von 2 Millionen Nutzer:innen täglich.
* ÉuGH, Urt. v. 24.02.2022, Aktz. C-175/20 – Valsts ieņēmumu dienests = ZD 2022, 271f, veröffentlicht in EuZW 2022, 527
Ein Beitrag von Emilia Ferrarese auf Netzpolitik.org. Creative Commons BY-NC-SA 4.0.
Grafik: Netzpolitik.org
Roberts Blog 